Innholdsfortegnelse:
Video: Top VPN features | NordVPN (Oktober 2024)
"VPN-logger hjalp med å avdekke påstått" nettstalker "er en alarmerende overskrift, ettersom hele poenget med å bruke et virtuelt privat nettverk er å surfe ubemerket.
Men som The Register rapporterer, det var det som skjedde med en mann ved navn Ryan Lin, som ble arrestert for å ha kjørt seg ut over sin tidligere romkamerat delvis fordi Lins VPN-leverandør, PureVPN, hjalp feds i etterforskningen deres ved å overlevere tømmerstokker. Det høres dårlig ut, men i dette tilfellet ser det ut til at PureVPN har handlet innenfor sin uttalte personvernpolicy. Du kan fremdeles stole på VPN-er like mye som du noen gang har gjort.
For det første, la meg være tydelig: Lins påståtte oppførsel er grov. Etter sigende gikk han enormt for å trakassere og demoralisere en kvinne. Politiet som samarbeider med teknologiselskaper for å arrestere ham er et eksempel på at systemet fungerer, og det faktum at han ble arrestert viser hvor langt vi har kommet inn om online aktiviteter som faktiske forbrytelser. For bare noen få år siden, ville ikke å gjøre noen være inkludert i en liste over svake kriminelle aktiviteter. Jeg håper alle som ville etterligne handlingene sine tenker bedre på det som et resultat.
Med det til side virker det som klart at denne mannen ville blitt arrestert uten informasjonen fra PureVPN. Registeret rapporterer:
"Klagen avslørte, han gjorde en grunnleggende feil ved å bruke en arbeidsdatamaskin for noen av kampanjene sine, og selv om han hadde blitt avsluttet og operativsystemet installert på nytt på maskinen, var det spor som ble etterlatt for etterforskerne å knytte Lin til de 16 -måneders kampanje mot Smith."
Rapporten går ikke i detalj om hvilken informasjon som ble gjenvunnet fra Lins arbeidscomputer, men involveringen er betydelig. Sikkerhetsforskere er alltid raske med å påpeke at hvis du kan skaffe målets enhet, har du effektivt vunnet.
Her er hva registeret sier etterforskere mottok fra PureVPN:
"Betydelig var det at PureVPN kunne bestemme at tjenesten deres fikk tilgang til av samme kunde fra to opprinnelige IP-adresser, " hevder Feds (angivelig, disse IP-adressene var på Lins arbeids- og hjemmeadresser)."
Det er lett å lese det og anta at PureVPN, og kanskje alle VPN-selskaper, overvåker brukernes aktiviteter og er villige til å overlate logger til etterforskerne. Men jeg tror ikke det er tilfelle. For meg høres dette ut som PureVPN bare bekreftet at tjenesten ble logget på av samme kunde på to forskjellige IP-adresser. Mange VPN-er registrerer informasjon om brukernes opprinnelse, vanligvis av datarutineringsgrunner.
Artikkelen sier også at "poster fra PureVPN viser at man fikk tilgang til de samme e-postkontoer fra den samme WANSecurity IP-adressen." Det er mer stødig, men det høres ikke ut som bekreftelse på at PureVPN overvåker brukeratferd. På det meste delte PureVPN den opprinnelige IP-adressen, adressen mannen koblet fra og IP-adressen til VPN-serveren brukeren brukte.
I sin personvernpolicy sier PureVPN noen viktige ting.
"Vi har derfor ingen oversikt over aktivitetene dine, for eksempel hvilken programvare du brukte, hvilke nettsteder du besøkte, hvilket innhold du lastet ned, hvilke apper du brukte osv. Etter at du koblet deg til noen av serverne våre. Serverne våre registrerer automatisk tidspunktet der kobler du deg til noen av serverne våre. Herfra og videre fører vi ingen poster over noe som kan knytte en bestemt aktivitet til en spesifikk bruker. Tiden da en vellykket forbindelse blir opprettet med serverne våre, regnes som en 'tilkobling' og den totale båndbredden som ble brukt under denne tilkoblingen, kalles 'båndbredde'. Forbindelse og båndbredde holdes registrert for å opprettholde kvaliteten på tjenesten vår."
PureVPNs personvernregler gjør to ting klart. For det første at selskapet samler inn e-postadresser (det er en del av innloggingen din og selskapets faktureringssystem). Det er egentlig ikke en "ingen logg" -policy og gjør ingen krav om å være det. Den samler informasjon om tilkoblinger på nettverket, men ikke innholdet i brukeraktiviteter. For det andre ser det ut til at selskapet har informasjon om hvilke av serverne som kundene har tilgang til.
PureVPNs personvernregler har også dette å si om temaet samarbeid med etterforskning:
"PureVPN er forpliktet til frihet, og støtter ikke kriminalitet, vi vil bare dele informasjon med myndigheter som har gyldige stevninger, warrants, andre juridiske dokumenter eller med påståtte ofre som har klart bevis for en slik aktivitet. Når og hvis en kompetent domstol ordrer oss eller et påstått offer ber oss (at vi strengt tatt selvvurderer) om å frigjøre litt informasjon, med riktig bevis, på at tjenestene våre ble brukt til enhver aktivitet som du gikk med på ikke å hengi deg til da du gikk med på vår Servicevilkår, så vil vi bare presentere spesifikk informasjon om den spesifikke aktiviteten, forutsatt at vi har oversikten over en slik aktivitet."
Kort sagt vil PureVPN samarbeide med etterforskere som presenterer dem med en gyldig garanti. Etter å ha vurdert garantien internt, vil PureVPN bestemme om de vil overholde eller ikke. Den sier også at den bare vil overlate informasjon den har på hånden - ikke at den vil tillate nettverkene sine å brukes til å spionere etter påståtte kriminelle. Det er viktig at PureVPN er basert i Hong Kong. For VPN-brukere er dette faktisk ganske bra fordi Hong Kong ikke har lov om lagring av data, noe som frigjør PureVPN til å bestemme hva de skal lagre og hvor lenge.
Jeg er ikke en juridisk ekspert, men det virker viktig at et Kina-basert selskap overholdt amerikanske etterforskere. Det antyder for meg at selskapet samarbeidet basert på etterforskningens fordeler og ikke var juridisk forpliktet til å gjøre det, men det er spekulasjoner fra min side.
For meg høres dette veldig ut som metadata. Det er datoen og klokkeslettet for tilkoblingen, og sannsynligvis noe informasjon om inn- og avslutnings-IP-adresser. Det er ikke, viktigst, informasjon om hvor brukere gikk derfra. Det betyr at etterforskere måtte få den informasjonen andre steder og samsvarte med den informasjonen som ble innhentet fra PureVPN.
Ikke noe av dette er å bagatellisere viktigheten av metadata. Masset-metadatasamlingen fra NSA var støtende på grunn av omfanget og det faktum at uskyldige mennesker ble rammet. Det ser ikke ut til å være tilfelle her.
Er VPN-er pålitelige?
Gjør ingen feil: Når du bruker en VPN, stoler du på dem med enestående tilgang til informasjonen din. Dette er grunnen til at jeg tar det veldig alvorlig når et VPN-selskap blir beskyldt for eller tukler med brukerdata når det går gjennom selskapets system. Dette er også grunnen til at det er så viktig å lese et selskaps personvernregler. Hvis du ikke finner det, eller det er så komplisert for å være uleselig, kan det hende at selskapet ikke er verdt tiden din. En personvernpolitikk er selvfølgelig bare ord, men vi må starte et sted.
Det er også veldig viktig å huske at intet sikkerhetsverktøy er en magisk kule, og at et målrettet angrep eller etterforskning nesten alltid vil være vellykket. VPN-er er best på å beskytte dataene dine mot å bli avlyttet i ditt lokale nettverk og forhindre at informasjonen din blir feid i masseovervåkningsarbeid. Hvis etterforskerne allerede ser på deg som en mistenkt, og har tilgang til andre bevis, er disse beskyttelsene allerede store.
Når det gjelder PureVPN ser det ikke ut til at selskapet brøt tilliten til brukerne - ikke engang Lin, som angivelig brukte tjenesten til kriminelle handlinger. Jeg vil kontakte selskapet for avklaring (og vil oppdatere etter behov), men for meg høres dette ut som et best case-scenario. En kriminell, en spesifikk person, ble målrettet for etterforskning, og et teknologiselskap overrakte den begrensede informasjonen den hadde.
Jeg vil ikke gå av som en ren PureVPN-forsvarer. Snarere ønsker jeg et modikk av ro og forståelse rundt sikkerhetsverktøy. Internett ble ikke bygget med tanke på personvern og sikkerhet, noe som legger brukeren til å beskytte seg selv. Vi kan ikke være redde for disse verktøyene, og vi må alle lære hva de gjør, og hvordan vi best kan bruke dem.
